et la plate-forme de webmail de Yahoo en ont déjà fait les frais. Myspace via un ver utilisant une faille dans le logiciel Quicktime. Et Yahoo Mail par le virus Yamanner voir zdnet, qui profitait d'une brèche dans la gestion de son code JavaScript.
C'est désormais au portail d'agrégation français Netvibes d'être touché, bien qu'indirectement. C'est un utilisateur résolu - selon ses dires - à démontrer les lacunes des applications Web 2.0 à protéger les données personnelles des utilisateurs, qui a décidé de divulguer publiquement une vulnérabilité. Sur un blog, qu'il a depuis fermé, il y expliquait la procédure suivie et les données auxquelles il était parvenu par ce biais à accéder.
"La vulnérabilité dans Webnote était connue de nos équipes, et le patch prêt. Notre intention était à l'origine de faire la correction mardi, mais compte tenu de la publication faite par l'internaute, nous avons dû hâter le processus", reconnait de son côté Tariq Krim, le fondateur de Netvibes.Décrivant son mode opératoire
en 5 étapes, le bloggeur explique avoir créé un module Netvibes, puis l'avoir
soumis à validation auprès du service, comme l'exige la procédure en vigueur.
Accepté, il a ensuite été mis en ligne. L'internaute constate alors être en
mesure de modifier son module sans avoir de nouveau à le soumettre à
validation.
Par le biais de la faille dans Webnote (bloc-notes), le bloggeur s'avère alors
capable de récupérer un grand nombre d'informations d'utilisateurs ouvrant son
module. Il s'agit notamment de leur e-mail d'accès à leur compte Netvibes, de
la liste de leurs flux RSS ou encore des paramètres de configuration des
modules. Ces derniers pouvaient, par ricochet, lui permettre de collecter les
données d'accès au compte Adsense des internautes victimes.
"Nous allons mettre en
place un système de certification des modules de façon à ce qu'ils soient
testés, contrôlés par des tiers, et pas seulement par nos équipes. Je pense
notamment à un système d'évaluation des modules comme ce peut être le cas des
vendeurs sur eBay. Nous allons également faire évoluer l'API, afin de
simplifier la conception des modules et d'évaluer strictement le code, dont
notamment le JavaScript", déclare Tariq Krim, s'expliquant sur la possible
compromission des modules tiers.
Concours de circonstances malheureux, un des développeurs de Netvibes en charge
des tests des modules est à son tour victime du bloggeur. Ce dernier découvre
en effet les codes d'accès à son environnement de développement et à sa base de
données - et non à celle de Netvibes contenant l'ensemble des codes
utilisateurs, comme il le déclarera ensuite sur son blog. Attitude contestable,
l'internaute décide alors de réaliser des captures d'écran et de les publier en
ligne.
Mais, pour le moment, la sécurité du site n'a
jamais été compromise et nous œuvrons pour que cela perdure. La sécurité a
toujours été le premier focus dans le développement de notre code",
revendique le fondateur de Netvibes.
"La problématique de la sécurité applicative, c'est-à-dire de la manière
dont est codée l'application Web, est cruciale car sa mise en cause peut avoir
des conséquences lourdes tant sur les données personnelles que sur le risque de
transmission d'informations faussées à un grand nombre d'utilisateurs",
rappelle le responsable veille sécurité du cabinet Lexsi, Thomas Gayet.
"Dans le cadre de développements externes pouvant être intégrés par chaque utilisateur à l'application Web 2.0, une attention particulière doit être portée par les développeurs du projet afin de confiner au maximum les possibilités offertes au code tiers, pour minimiser les actions pouvant porter atteinte aux autres modules ou données", conclut-il.
Commentaires